- Unity обнаружила и устранила серьёзную уязвимость, присутствовавшую в игровом движке с 2017 года.
- Проблему затрагивают игры и приложения на Unity версий с 2017.1 и выше, включая сопутствующие материалы к играм на других движках.
- Разработчики призваны срочно обновить свои проекты, а крупные студии временно удалили некоторые игры из продажи для предотвращения рисков.
Компания Unity опубликовала срочное обновление для устранения серьёзной уязвимости безопасности, существовавшей в игровом движке с 2017 года. Уязвимость была выявлена 4 июня и исправлена 2 октября. Она затрагивает все игры и приложения, созданные на Unity начиная с версии 2017.1 и выше, на платформах Windows, Linux, macOS и Android.
Особенность проблемы в том, что она влияет не только на проекты, разработанные непосредственно на Unity, но и на сопутствующие приложения, например, цифровые артбуки, выполненные на этом движке. Так, известная игра Avowed, разработанная на Unreal Engine 5, имела цифровой артбук, который тоже был подвержен уязвимости.
Технически уязвимость позволяет злоумышленникам загружать и внедрять вредоносные файлы, что даёт им возможность запускать вредоносный код или похищать информацию с уровнем привилегий уязвимого приложения. Unity оценила опасность этой проблемы на 7,4 из 10 по своей внутренней шкале, хотя отмечает, что в настоящее время нет подтверждений фактов её эксплуатации в реальных атаках.
Компания настоятельно рекомендует разработчикам незамедлительно обновить свои проекты до исправленной версии движка через Unity Hub или Unity Download Archive, а также перекомпилировать и заново опубликовать свои приложения.
В ответ на ситуацию такие студии, как Obsidian Entertainment, приняли решение временно удалить ряд игр из цифровых магазинов, включая Grounded 2, Avowed и Pillars of Eternity. Bethesda также убрала из продажи Fallout Shelter для минимизации рисков. Аналогичные меры приняли и другие разработчики.
Параллельно Valve выпустила обновлённый клиент Steam, включающий защиту от этой уязвимости. На платформе Windows пользователи получили апдейт Microsoft Defender, способный обнаруживать и блокировать угрозу. Кроме того, Google и другие компании реализовали свои меры защиты.
Отметим, что в сентябре через Steam была обнаружена вредоносная игра BlockBlasters. После её установки у популярного стримера RastalandTV украли криптовалюту на сумму около 32 тысяч долларов, собранную для лечения тяжёлой болезни. Впоследствии стало известно, что жертвами атаки стали сотни пользователей, сумма украденных средств превысила 150 тысяч долларов. В связи с этим Valve порекомендовала всем, кто установил BlockBlasters, тщательно проверить компьютер антивирусом и при необходимости переустановить операционную систему.
